研究人员发现MAC上的DLL劫持技术

DDL劫持不仅限于Windows:概念上类似的攻击也存在于OS X系统。

根据安全公司的最新研究,DLL劫持在Mac上也同样适用,可以用来绕过苹果GateKeeper等安全功能,使其感染电脑中易受攻击的地方。Wardle将在本周在温哥华举行的CanSecWest应用安全大会上分享这个问题。

“OS X dylib(dynamic library动态库)劫持在概念上类似于Windows的DDL劫持”,研究人员Wardle解释说,“在这两种情况下都存在这个情况,操作系统装载器在很多地方寻找所需的依赖库。如果在原位置没有找到正确的依赖库,比如,找到的是第一个目录进行装载,攻击者可以将恶意库种在这里。从此,每次启动这个程序时,无论是操作系统还是用户,装载器将发现并盲目下载攻击者的恶意库,因为装载器第一次首先找到的是攻击者种植恶意库的位置。”

攻击者依赖于利用易受攻击的app,Wardle计划推出一个开源的python脚本和带有用户界面的应用程序用来扫描这些恶意库。他说,这个程序可以扫描电脑中的150个脆弱的应用程序,包括苹果商店中的应用程序和第三方提供的app。攻击者绕过GateKeeper(GateKeeper有反恶意软件功能,允许用户限制应用程序的安装,这些应用程序必须来自木马感染性低的源。),OS X Lion 10.75,OS X Moutain Lion及以后的操作系统都包含这个功能。

“我将在会议上透露一些攻击细节”Wardle说,“但是,我现在可以先总结一下。GateKeeper不验证下载的信息,直接下载dmg安装包。这种情况为攻击者创造了一种DLL场景,攻击者可以自行创建GateKeeper信任的软件包或者感染合法下载的软件,当用户打开这些软件时,执行恶意代码。所以即使用户设置了GateKeeper只允许执行来自苹果商店的程序,电脑还是会下载攻击者的恶意代码并且允许这些程序执行,导致用户被感染。”

“这种攻击可以被用于以下情况:持久性,长时间载入过程的注入等”,Wardle解释说,“实现类似目标的其他的攻击方式非常复杂,并且容易检测并防止。使用这种dylib劫持攻击,攻击者可以通过简单的空投捆绑式dylib实现相同的目标。这就是dylib劫持攻击,它可以结合各种工具,使攻击过程既简单又对用户的计算机进行毁灭性攻击。”

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-03-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏hotqin888的专栏

设代资料管理平台,基于engineercms系统核心

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/hotqin888/article/det...

1403
来自专栏向治洪

OSGi简介

这两天在研究Kotlin时,看到Kotlin和和OSGi的完美融合,就有必要介绍下OSGi。 OSGi是什么 OSGi是Open Services Gatewa...

3395
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(103)-PP-233使用看板的生产制造

PP233使用看板的生产制造 目的 业务情景使用看板的生产制造集中介绍在生产制造环境内采用的精益生产控制方法:对简单补货使用看板处理。 通常在生产流程符合下列标...

3484
来自专栏FreeBuf

五大安全研究者必用的搜索引擎

CNN 曾在 2013 年 4 月 8 日 的新闻报道中称 Shodan 是“互联网上最可怕的搜索引擎”。 甚至光是听它的名字,就让人觉得不寒而栗! 那只是三年...

2497
来自专栏FreeBuf

域名劫持事件发生后的应急响应策略

Morphus实验室讲述了这样一个故事,在某周六的早上,你作为一家大公司的CSO(首席安全官),突然开始收到了雪片般飞来的消息。他们告诉你有游客在访问了你公司的...

2396
来自专栏编程一生

业务高速增长场景下的稳定性建设实战

2512
来自专栏FreeBuf

宜信防火墙自动化运维之路

做了多年安全运维的我一直想出点干货,经常看众大神分享经验,仰望的同时总是想有一天自己也能贡献点什么。在宜信的这些年工作了许久,经验也积攒了一些,不敢说干货多硬,...

1703
来自专栏花叔的专栏

解读一下一次性订阅消息

话说,微信的消息触达功能又“多”一项了---一次性订阅消息,也可以称她为“被动触达消息”,“被动”指的是开发者是被动的,因为这个消息必须由用户主动触发,而昨晚的...

1.3K12
来自专栏带你撸出一手好代码

请给你的电脑加上固态硬盘

电脑速度慢,那是老生常谈的话题了。 不管是笔记本电脑还是台式机,是二三千块DIY的货色还是上万土豪配置, 在新系统刚装好那会, 使用起来肯定是顺滑如丝一般的感觉...

3205
来自专栏企鹅号快讯

西部数据My Cloud NAS设备曝大量高危漏洞

“用指尖改变世界” ? 安全研究人员在西部数据公司(Western Digital)的My Cloud NAS设备中发现了几个严重的漏洞和一个采用硬编码的后门程...

4087

扫码关注云+社区

领取腾讯云代金券